GitHub Actions で S3 デプロイ

概要
説明
内容
まとめ
感想
参考

概要

GitHub Actions を使用して、S3 に Web ページコンテンツをデプロイする。

説明

GitHub Actions は、CI/CD ツールの一種。
GitHub のイベントをトリガとして、ビルド、デプロイ等の操作を自動化することができる。

リポジトリ内の .github ディレクトリの中に、workflows というファイルを作成し、どのイベントをトリガとしてどのような動作を行うかを記述する。

詳しくは公式ページを参照。

GitHub Actions を理解する - GitHub Docs

コア概念や重要な用語など、GitHub Actions の基本について説明します。

もともと、S3 による静的 Web サイトホスティングを使用して Web ページを公開していた。
今回、S3 へのコンテンツアップロードを自動化できないかと思い、試してみた。

内容

下準備？

Windows で WSL を使用しているが、Git 操作をするたびにアクセストークンを聞かれていて、さすがに面倒くさい。
そこで、Git Credential Manager を使用する。

WSL2でGit認証を毎回聞かれないようにする

また、日本語ファイルについて、git status 等の出力の文字化け対策も行った。

https://dev.classmethod.jp/articles/git-avoid-illegal-charactor-tips/

AWS 側の設定

GitHub Actions で S3 にファイルを配置するため、GitHub 上のサーバから S3 にアクセスする必要がある。

GitHub の設定で、IAM ユーザの認証情報をシークレットとして設定する方法が考えられる。
（単に触ってみるくらいの時はそうしていた。）
だが、セキュリティ的には、一時的な認証情報を使用する IAM ロールを使用する方が望ましい。

そこで、今回は IAM ロールを使用した方法を試した。
次のような記事を参考にして進めた。

アマゾンウェブサービスでの OpenID Connect の構成 - GitHub Docs

ワークフロー内で OpenID Connect を使用して、アマゾンウェブサービスで認証を行います。

GitHub ActionsにAWSクレデンシャルを直接設定したくないのでIAMロールを利用したい | DevelopersIO

OIDCプロバイダとIAMロールを利用して、セキュアなAWSクレデンシャルを取り扱おう！

GitHub Actions で OIDC を使用して AWS 認証を行う

まず、IAM にて ID プロバイダの設定を追加。

次に、IAM ロールを作成。
信頼されたエンティティの設定は次の通り。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "",
            "Effect": "Allow",
            "Principal": {
                "Federated": "arn:aws:iam::AccountId:oidc-provider/token.actions.githubusercontent.com"
            },
            "Action": "sts:AssumeRoleWithWebIdentity",
            "Condition": {
                "StringEquals": {
                    "token.actions.githubusercontent.com:sub": "repo:UserName/RepositoryName:ref:refs/heads/BranchName",
                    "token.actions.githubusercontent.com:aud": "sts.amazonaws.com"
                }
            }
        }
    ]
}

ポリシーの設定は次の通り。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket",
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::BucketName",
                "arn:aws:s3:::BucketName/*"
            ]
        }
    ]
}

今回、aws s3 sync でのアップロードを想定しているため、GetObject、ListBucket、PutObject の3つの権限を設定した。

GitHub 側の設定

冒頭にも書いた通り、.github/workflows に設定を記述するだけで良い。

S3 にファイルをアップロードする際の設定例があったので、ほぼそのまま利用した。

GitHub - aws-actions/configure-aws-credentials: Configure AWS credential environment variables for use in other GitHub Actions.

Configure AWS credential environment variables for use in other GitHub Actions. - aws-actions/configure-aws-credentials

実際に使用した .github/workflows ファイルの設定内容は次の通り。

name: Deploy to S3

on:
  push:
    branches: "BranchName"

env:
  AWS_REGION: ap-northeast-1
  BUCKET_TO_SYNC: BucketName
  ROLE_TO_ASSUME: arn:aws:iam::AccountId:role/RoleName

permissions:
  id-token: write
  contents: read

jobs:
  deploy:
    name: Deploy files to AWS S3
    runs-on: ubuntu-latest

    steps:
    - name: Checkout
      uses: actions/checkout@v3

    - name: Configure AWS credentials
      uses: aws-actions/configure-aws-credentials@v1
      with:
        role-to-assume: ${{ env.ROLE_TO_ASSUME }}
        aws-region: ${{ env.AWS_REGION }}

    - name: Upload objects with awscli
      run: |
        : # Sync to S3 without ".git/*", ".github/*", and "README.md"
        aws s3 sync . s3://${BUCKET_TO_SYNC} \
          --exclude ".git/*" \
          --exclude ".github/*" \
          --exclude "README.md"